กระทู้เมื่อเร็วๆ นี้

21
Fortigate / load balancing spillover ใช้งานยังไง
« กระทู้ล่าสุด โดย One เมื่อ 01 ต.ค. 19, 21:45:49น. »
ช่วยอธิบาย load balancing spillover แนะนำการตั้งค่าให้หน่อยครับ

พอดีมีเน็ต 2เส้น  ใช้ firmware V.5.4
WAN#1 มีความเร็ว 200 Mbps
WAN#2  มีความเร็ว 500 Gbps

คือต้องการให้ทำงานหลักที่  WAN#1  เมื่อใช้งานสูงถึง 150 Mbps  ให้เทไปใช้งาน WAN#2 

แล้วเมื่อ WAN#2 ใช้ถึง 400 Mbps ก็ให้เทไป WAN#1 จนเต็ม 200 Mbps  จากนั้นเทไป WAN#2 ทั้งหมดได้หรือไม่


22
Fortigate / อัพเดตเป็น V6.2.1 แล้ว set disclaimer enable ไม่ขึ้น
« กระทู้ล่าสุด โดย Alcifer เมื่อ 01 ต.ค. 19, 15:53:44น. »
อัพเดตเป็น V6.2.1 แล้ว set disclaimer enable ไม่ขึ้น ข้ามมาหน้า Captive เลยครับ ก่อนหน้าจะอัพเดตขึ้นปกติครับ
ใครมีแนวทางอะไรแนะนำไหมครับ ของคุณไว้ล้วงหน้าครับ
23
Fortigate / Re: รบกวนขอสอบถามหน่อยครับการเซ็ต Fortigate 60E V 5.4.3
« กระทู้ล่าสุด โดย ToR เมื่อ 01 ต.ค. 19, 10:38:47น. »
port WAN เสียเหรอครับ
24
Fortigate / รบกวนขอสอบถามหน่อยครับการเซ็ต Fortigate 60E V 5.4.3
« กระทู้ล่าสุด โดย wattana เมื่อ 28 ก.ย. 19, 11:32:02น. »
คือผมต่อ ตัวFortigate แบบ lan ใด้ใหมครับจะไม่ต่อแบบ WAN นะคับ  คือ ผมอยากได้ Ip ที่ใช้ใน บริษัท เป็น 192.168.1.XX  ทั้งหมด
โดนการต่อ คือ จากเล้าเตอร์เข้า Fortigate เป็น LAN  และ ออกจาก Fortigate ไป HUB 50 port ก็ต่อแบบ Lan จะไม่เสียบสายLANที่ช่อง WANเลยนะคับ   ไม่ทราบว่าแบบ ต่อแบบ นี้จะเช็ตได้ใหมครับ สิ่งที่ต้องการ คือ บล็อคเฟส Youtoub ไวรัส
25
มี Fortigate 100D จำนวน 2 เครื่อง ยังอยู่ในประกัน สามารถ Turn แลกเปลี่ยน เป็น Fortigate 201E เพิ่มส่วนต่าง ได้หรือไม่ครับ
26
Fortigate / Re: สอบถามเรื่องการ Log user AD
« กระทู้ล่าสุด โดย earth เมื่อ 24 ก.ย. 19, 17:13:31น. »
ถ้าไม่ลง Agent และต้องการเก็บ Traffic log พร้อม User และ  IP Address พร้อมกัน
ก็ต้องทำการ Auth ออกเน็ตแบบ Log in ผ่านหน้าเว็บครับ  (Captive Portal) 
27
Fortigate / Re: สอบถามเรื่องการ Log user AD
« กระทู้ล่าสุด โดย telthanya เมื่อ 24 ก.ย. 19, 14:59:01น. »
กรณีที่ลง agent ที่ AD จะใช้ในการทำ Sigle Sign-On ครับ (Client ต้อง Join Domain)
ถ้าไม่ลง agent จะไม่สามารถใช้งาน Sigle Sign-On ได้ครับ ซึ่งหมายความว่า จะไม่มี log ขึ้นเช่นกัน
เนื่องจาก AD ไม่รู้ว่าจะคุยกับ Firewall ยังไง agent เปรียบเสมือน ภาษา Sign-On

แต่ถ้าใช้ LDAP แล้วดึง User บน AD มาเป็น User LDAP บน Firewall อีกที จะไม่ต้องลง agent
กรณีนี้จะมี User+IP แสดงที่ Traffic Log ครับ
28
Fortigate / สอบถามเรื่องการ Log user AD
« กระทู้ล่าสุด โดย ustapon เมื่อ 24 ก.ย. 19, 13:42:58น. »
กรณีที่เรานำ Fortigate Join เข้ากับ LDAP AD แล้ว(ไม่ได้ทำการลง Agent) จะสามารถเห็น Traffic log ที่เป็น User พร้อม IP Address  ได้หรือไม่ครับ
29
Fortigate / Re: สอบถามการ Config Fortigate 110C
« กระทู้ล่าสุด โดย telthanya เมื่อ 24 ก.ย. 19, 12:07:25น. »
ผมลองทำตามแล้ว ก็ยังออก Internet ไม่ได้เลยครับ
ผมมีข้อสงสัยอยากสอบถามครับ
1. ระหว่าง SW L3 กับ Firewall ต้องเชื่อมต่อกันยังไงเหรอครับ เสียบสายต่อตรงระหว่าง Interface ของ SW L3 กับ Firewall
 โดยต้องตั้งค่าอะไรเพิ่มเติมยังไงหรือครับ อันนี้ไม่เข้าใจจริงๆครับ เพราะอุปกรณ์ทั้ง 2 เหมือนยังสื่อสารกันไม่ได้เลยครับ เลยเป็นสาเหตุทำให้ออก Internet ไม่ได้

2. ผมสงสัยว่า Interface ของ Firewall ตั้งแต่ Port1-8 ทำไมไม่สามารถแยก Config ได้ ทุก Port เป็นสมาชิกของ Internal
 ทั้งหมดเลย ต้องแยกออกยังไงหรือครับ

อันนี้ถามเพราะไม่เข้าใจจริง ๆ ครับ มือใหม่อยากลองศึกษาจริงๆ ครับ ซื้ออุปกรณ์มือสองมาลองเล่นเอง หมดเยอะแล้วด้วยครับ กรุณาด้วยครับ ขอบคุณครับ...

ขอตอบทีละส่วนดังนี้ครับ (ยาวหน่อยนะ)

ส่วนที่ 1 Config Firewall
ถ้ามองจากภาพ (ขอใช้ตัวอย่างข้างล่างนี้อธิบายทั้งหมดนะครับ)
ผมขอสมมติว่าคุณต่อสายจาก Core SW Port GE0/1 ไปเสียบที่ Firewall Port 1
และต่อสายจาก Firewall Port 2 ไปยัง Router TOT

Config Firewall สำหรับสร้างเส้นทางจาก Firewall ไปยัง Internet
SRC port : Port 1
DST port : Port 2
SRC Address : (อันนี้แล้วแต่ว่าคุณจะให้ IP ไหนออกได้บ้าง ก็สร้าง Object Address มาใส่ตรงนี้ครับ)
DST Address : เลือก Object Address เป็น ALL (อันนี้แบบง่าย ๆ นะ ไม่กรอง Address ปลายทาง ไปได้ทุกที่)
Service : ALL (แบบง่าย ๆ ไม่กรอง Service ปลายทางที่จะไป)
ACTION : ACCEPT

Config Route เพื่อให้มีเส้นทางระหว่าง Firewall กับ Router TOT
- ที่ Firewall ทำ Default Route โดยไปที่ Router > Static Route
Destination : 0.0.0.0/0.0.0.0 (ตรงนี้หมายถึง ไปปลายทางได้ทุก IP)
Interface : Port 2 (เลือกพอร์ตที่เชื่อมต่อกับ ISP เพื่อเป็นทางออกไป เนท)
Gateway : ใส่ไอพีของ Interface ฝั่งตรงข้าม (ในที่นี้จะหมายถึง Interface Router TOT ที่เชื่อมต่อมายัง Firewall ครับ)


Config Firewall สำหรับสร้างเส้นทางจาก Firewall ไปยัง Core Switch
SRC port : Port 2
DST port : Port 1
SRC Address : ALL (เนื่องจากเราจะให้ Traffic จาก Internet ทั้งหมด มายัง Network ที่ต้องการ)
DST Address : เลือก Object Address เป็น Network ปลายทาง (วงของ Client)
Service : ALL (แบบง่าย ๆ ไม่กรอง Service ปลายทางที่จะไป)
ACTION : ACCEPT

Config Route เพื่อให้มีเส้นทางระหว่าง Firewall กับ Core SW (ถ้ามองจากตรงนี้ เรากำลังจะสร้างเส้นทางจาก Firewall ไปยัง Core Switch)
- ที่ Firewall ไปที่ Router > Static Route
Destination : ใส่ Network IP ที่จะให้ Triffic จากที่ใด ๆ สามารถวิ่งเข้าไปยัง Network ดังกล่าว (ในที่นี้คือการทำให้ Firewall รู้จักเส้นทางที่จะไปยัง Network วงนั้น ๆ)
Interface : Port 1 (เลือกพอร์ตที่เชื่อมต่อกับ Core SW เพื่อบอกให้ Router ทราบว่า หากจะไป Network ข้างต้น จะต้องออกทาง Port นี้)
Gateway : ใส่ไอพีของ Interface VLAN ของ Network นั้น ๆ (Network IP กับ Interface VLAN จะเป็นเลขเดียวกัน)


ส่วนที่ 2 Config Core Switch
โยน Default Route มายัง IP ที่ Interface ของ Firewall Port 1 เลยครับ
(ถ้ามองจากตรงนี้ เรากำลังจะสร้างเส้นทางจาก Core Switch ไปยัง Firewall)


ข้อสงสัยที่ถามมาเพิ่มเติม
1. ระหว่าง SW L3 กับ Firewall ต้องเชื่อมต่อกันยังไงเหรอครับ เสียบสายต่อตรงระหว่าง Interface ของ SW L3 กับ Firewall
 โดยต้องตั้งค่าอะไรเพิ่มเติมยังไงหรือครับ อันนี้ไม่เข้าใจจริงๆครับ เพราะอุปกรณ์ทั้ง 2 เหมือนยังสื่อสารกันไม่ได้เลยครับ เลยเป็นสาเหตุทำให้ออก Internet ไม่ได้
ตอบ : เสียบปกตินั่นแหละครับ เพียงแต่อาจต้องดูในเรื่องของ Dulex และ Speed ให้ตรงกัน

วิธีเช็คบน Firewall
Fortigate # config system interface
Fortigate (interface) # edit port1 <<<<< ใส่เลขพอร์ตที่ต้องการ
Fortigate (port1) # show full-configuration
Fortigate (port1) # set speed auto <<<<<<<<<<< เลื่อนไปดูที่บรรทัดนี้ครับ Default จะเป็น Auto (ไม่แนะนำให้ fix speed ของ interface บน firewall ถ้าอยากจะ fix ให้ไปทำบน SW)
Fortigate (port1) # set speed (แล้วพิม ? จะแสดง cmd ว่าสามารถตั้งค่า Duplex และ Speed ได้อย่างไรบ้าง)

2. ผมสงสัยว่า Interface ของ Firewall ตั้งแต่ Port1-8 ทำไมไม่สามารถแยก Config ได้ ทุก Port เป็นสมาชิกของ Internal
 ทั้งหมดเลย ต้องแยกออกยังไงหรือครับ
ตอบ : INTERNAL ถ้า Firmware เก่า ๆ เป็นเพียงแค่ชื่อครับ แต่เดี๋ยวนี้ เฟิร์มแวร์รุ่นใหม่ ๆ ที่รองรับ Security Fabric นำชื่อนี้ไปแยกแยะด้วยครับ
ถ้าเราไม่ได้ใช้งาน Security Fabric หรือไม่ได้สนใจ คำว่า INTERNAL ก็เป็นเพียงแค่ Port ๆ นึง ที่แยก Zone กันอย่างสิ้นเชิง
(แยก Broadcast Domain เลยอะครับ) Port บน Firewall จะไม่เหมือน Port บน Switch ที่อยู่ใน VLAN เดียวกัน จะมองเห็นกัน

ไหน ๆ ก็ไหน ๆ ละ ผมขอแนะนำบทความของผมด้วยแล้วกัน ผมเขียนขึ้นมาเอง
เรื่อง Broadcast Domain ศึกษาได้จากลิ้งนี้ครับ https://netsocieties.blogspot.com/2019/07/understanding-basic-of-vlans-virtual.html

เรื่องของการสร้าง Policy บน Firewall หากไม่เข้าใจ ศึกษาได้จากลิ้งนี้ครับ https://netsocieties.blogspot.com/2019/09/how-to-creating-security-policy-zoning.html

หากมีอะไรสอบถามเพิ่มเติม ทิ้งคำถามไว้ได้เลยครับ
ขอบคุณครับ
30
Fortigate / Re: สอบถามการ Config Fortigate 110C
« กระทู้ล่าสุด โดย earth เมื่อ 24 ก.ย. 19, 11:53:22น. »
ผมลองทำตามแล้ว ก็ยังออก Internet ไม่ได้เลยครับ
ผมมีข้อสงสัยอยากสอบถามครับ
1. ระหว่าง SW L3 กับ Firewall ต้องเชื่อมต่อกันยังไงเหรอครับ เสียบสายต่อตรงระหว่าง Interface ของ SW L3 กับ Firewall
 โดยต้องตั้งค่าอะไรเพิ่มเติมยังไงหรือครับ อันนี้ไม่เข้าใจจริงๆครับ เพราะอุปกรณ์ทั้ง 2 เหมือนยังสื่อสารกันไม่ได้เลยครับ เลยเป็นสาเหตุทำให้ออก Internet ไม่ได้

2. ผมสงสัยว่า Interface ของ Firewall ตั้งแต่ Port1-8 ทำไมไม่สามารถแยก Config ได้ ทุก Port เป็นสมาชิกของ Internal
 ทั้งหมดเลย ต้องแยกออกยังไงหรือครับ

อันนี้ถามเพราะไม่เข้าใจจริง ๆ ครับ มือใหม่อยากลองศึกษาจริงๆ ครับ ซื้ออุปกรณ์มือสองมาลองเล่นเอง หมดเยอะแล้วด้วยครับ กรุณาด้วยครับ ขอบคุณครับ...


1.ที่ Switch L3 นั้น  ที่ต่อไปหา Firewall  ได้ Setting ไปหาแบบไหนครับ
    1.1 trunk port   หรือ   1.2 ทำ Route  หรือ ทำ default route ไปหา Firewall ครับ

2.โดย default ของ Firmware บ้างเวอร์ชั่น และกับ Box FortiGate บ้างรุ่น
interface ที่ใช้งานกับภายในโดย default จะเป็นแบบ Switch mode ครับ
ความหมายคือ port บนตัวเครื่องที่เป็น port physical ยกตัวอย่าง port1-8   จะเป็น member กัน
แต่ในหน้า GUI ในการ Config จะเป็นชื่อ interface : internal เพราะฉะนั้นสามารถเสียบใช้งาน port ไหนก็ได้ตั้งแต่ port1-8 เพราะว่าเป็นรูปแบบ switch mode

แต่ถ้าต้องการแยกออกมาอิสระต่อกัน จะเป็นรูปแบบที่เรียกว่า interface mode ครับ 
การแยกลองดูจากด้านล่างนี่ครับ



http://blog.webernetz.net/2016/02/18/fortigate-software-hardware-vlan-switch

https://colinweiner.wordpress.com/2015/02/19/enable-interface-mode-on-fortiwifi-90ds-running-fortios-5-2/